Открыть список
Как стать автором
Обновить

Комментарии 75

Уже долгое время пытался доказать, что как таковых вирусов на мобильных платформах нет. Вирус это программа способная к саморазмножению. Хотя сейчас вирусами называют и трояны и другие вредоносные программы. Но тут встает вопрос — если пользователю скажут в приложении, что если он удалит всю важную информацию с телефона и телефон будет летать как топовые модели, и он это выполнит (не исключено, сейчас люди вводят JS коды в надежде получить голоса вконтакте и т.д. и готовы делать любые глупые вещи лишь бы достичь цели) будет ли это считаться вредоносной программой? По сути программа выполняет функции заложенные в ОС (та же отправка сообщений или удаление файлов) все это прописано в разрешениях.
Это все равно что пустить в дом уборщицу, дать ей права выкидывать ненужный мусор, а потом разводить панику, что она выкинула всю мебель — вы же ей разрешили!
Как это нет? Были в свое время на Symbian вирусы, да еще какие противные, уничтожались только полным сбросом и форматированием флешки отдельно. Даже список нашел. Если мне не изменяет память, и на Windows Mobile были.
Но это все — предыдущее поколение мобильных ОС. Без современных методов изоляции приложений и аппсторов с центральным килл-свитчем.
Так ведь автор комментария уже «долго пытается доказать», вот я и подумал. :)
Как разработчик заметил интересные тенденции в последнее время:
1)в самом маркете практически исчезли случаи публикации «вирусных приложений» так как поддержка очень быстро из снимает с публикации по слухам известно что после 25 заявок (нажатий кнопки в маркете) о вреде приложения его временно а потом и навсегда снимают с публикации
2) зато стал очень быстро набирать новый способ который меня раздражает очень сильно, в приложениях с рекламой нажал на баннер (хотел поддержать разраба хорошей проги) а ссылка вела сразу же на .apk файл с левого сайта с явно странным названием и само собой не из маркета.
для установки такой проги нужно включить «неизвестные источники» в настройках но это редко как я понимаю спасает людей, а такие приложения чаще всего отображают бесполезную инфу типа погоды но у них есть права на отправку смс что и является целью злоумышленников. Так что всем советую в первую очередь смотреть на права на отправку СМС это ооочень пакостная хрень.
Кстати в Android немного раздражает, что при загрузке файла, браузер не спрашивает загружать его или нет. Такое простое действие было бы очень полезным и против автозагрузки APK и как защита от скачивания больших объемов, а то бывает нажал ссылку положил телефон… и за 2 часа пока телефон лежал она скачала что то на 50 мбайт.
Подскажите, а Google, Apple и проч. проверяют не только первую версию программы, но и ее обновления? Возможна ли ситуация когда разработчик создаст популярную безобидную программу а в каком то из обновлении добавит зловредный код, который в час Х устроит на всех телефонах… или этого разработчика взломают и от его лица добавят злое обновление?
Я не думаю что человек будет получать доверие, раскручивать полезную для людей программу, а потом всех мигом кинет. Как написано выше — 25 человек, которые заметят вред заблокируют программу. Насколько я помню обновления как то не всем странам сразу приходит, и ставят их автоматически тоже не все. У меня где то каждые 1-4 дня, когда их штук 10 наберется я ставлю.
Я не помню конкретики, но такой случай был несколько месяцев назад — то-ли в маркете, то-ли среди планинов firefox.

Ну и никто не отменял возможность взлома компьютера разработчика и внедрения в его код своих закладок, это сейчас распространённый метод.
От этого не защитишься. Например представь себе программу которая показывает и отправляет смс. Злоумышленник зашьет туда код, чтобы после отправки твоего сообщения посылалось еще одно только на платный номер. Ни один антивирус это не отследит — это стандартное поведение приложения. Тут надо защищать компьютер разработчика и больше никак.
И кто должен защищать компьютер разработчика программы за один доллар, если даже исходники ядра линукса защитить не могут?

Мне кажется, решение в более строгом контроле за предоставляемыми правами, и не с мобильного телефона с микроэкраном, на котором ничего не видно. Более тесная интеграция телефона и компьютера — вот это выход. (Пока компьютер не взломают?) Телефон — окошко в мир для компьютера.
Уже не в первый раз приходится искать конкурентов, т.к. раскрученные бесплатные программы вдруг после очередного апдейта показывают рекламу. Реклама в приложении — это еще пол беды. Но бывает еще и airpush…
Чарли Миллер недавно как раз показывал прооттип изначально безвредной программы для iOS которая может самостоятельно обновляться и получать новый функционал вплоть до удаленного управления устройством.

digit.ru/technology/20111108/386018773.html

В общем практически подобная атака уже реализована.

А разве и так нельзя подгрузить бинарники и запустить например? Только вот ограничение разрешений в APK все равно есть. Полной защиты быть не может. Если только не спрашивать каждый чих, запускать через 10 абстракций с эмуляциями и давать работать только если оно висит внешне.
И то при этом можно например сидеть в браузере, а в это время работает бот-нет. Можно спрашивать куда подключаться куда что отправлять…
Короче — чем больше защита, тем сложнее работать пользователю.
Гугл не проверяет программы если на них никто не жалуется. А вот эппл проверяет каждый апдейт проги (и это занимает иногда весьма значительное время) перед тем как выложить его.
Они говорят что так, но на самом деле не каждый — наша программа не может работать без регистрации, ну и видно кто когда входил. Так они где-то 50% только апдейтов смотрели глазами, остальные просто так ушли. Спрашивается чего ради мы ждали две недели?
У Apple даже десктопный софт проверяется таким образом в App Store. В итоге релизы даже такого популярного софта как MplayerX задерживаются на неделю, зато точно там нет никакой пакости.
Apple проверяет все версии.
Google при загрузке приложения не проверяет вообще, даже первую версию. Приложение появляется в маркете спустя часа два.
Amazon AppStore, в отличии от Google, проверяет все версии.
Если в новой версии программы изменились запрашиваемые права доступа, то автообновление не сработает, а при ручном обновлении пользователю эти новые права будут выведены отдельным пунктом. То есть защита «от дурака» достаточно сильная, но никто не запретит пользователю игнорировать подобные надписи.
Единственным полезным «антивирусом» в виде приложения считаю менеджер разрешений, позволяющий регулировать для каждого приложения доступ к определённым разрешениям. Весьма удобно. Например, такое приложение. Нужен рут, естественно.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Опять мы переносим технические проблемы на пользователя. Отвечать на вопросы смысл которых он не понимает.
Например на Android permission — WRITE_EXTERNAL_STORAGE что пользователь должен ответить? И к каким последствиям положительный ответ приведет? Такие вопросы вводят в тупик.
По умолчанию это реализовано в системе. Приложение требует права, установщик показывает пользователю, и именно последний решает, соглашаться или нет (правда, в случае отказа придётся отказаться и от программы).
А вот в CM7 (думаю, и дальше будет) можно включить возможность отключения прав, достаточно зайти в управление приложением и нажатием по требованию отключить его или включить обратно. Правда, не все приложения корректным образом это могут обработать, когда вроде права были запрошены, а при отправке, например, смс, вышло исключение.
> программы не могут получить доступ к многим ресурсам системы и поэтому потенциальный и причиняемый ими ущерб сильно преувеличен. Решить эту проблему может установка только проверенных программ из известных источников, которые в состоянии выполнить проверку приложений

Приложение, получающее root'а, имеет доступ к очень большим возможностям, а Гугл никак не проверяет приложения, поступающие в маркет.

На самом деле это заявление — ответ на исследования типа habrahabr.ru/company/dataved/blog/133404/
Те, у кого рутованные девайсы, да и я в том же числе, сами согласились на предоставление исключительных прав некоторым программам. И нам приходится быть разборчивыми в выборе программ с рутовым доступом.
Что будем делать с приложениями, которые получают рута самостоятельно?
Дырки закрывают, плюс не на всех девайсов работает. Я вот месяц назад пытался получить рута на одном устройстве под управлением гингера. Ни один руткит не сработал.
Дыры закрывают достаточно медленно, плюс производители взяли за моду выпускать устройства уже с сильно устаревшими версиями и не особо спешить с их обнолением
Вот чего не замечал на телефонах от Google. :)
В природе не существует телефонов от Гугла
Как производителя нет, но есть такое как Nexus One, Nexus S и Galaxy Nexus. Вот у меня на Nexus One все 2 года нормально обновлялась прошивка.
Ну, это — типа флагманы. Для остальных — сильный разнобой
Решить эту проблему может установка только проверенных программ из известных источников, которые в состоянии выполнить проверку приложений и, в случае необходимости, удалить их. Такие источники, вроде широко известных магазинов приложений от Google

лолчто?
Это же сколько людей должно пострадать от вредноносной программы, прежде чем гугл обратит на нее внимание. А сколько людей проигнорирует ситуацию, и не отправит репорт в маркет. А сколько даже не поймет какое приложение слило им все деньги.
При установке программ из доверенных источников и в 95-й винде особых проблем с вирусами не было. В подавляющем большинстве случаев заражение производилось самим пользователем, афаик, без всяких хитрых уязвимостей, просто пользователь сам клацал по зараженному файлу или вставлял зараженный диск или флешку со включенным автозапуском.
Ключевым моментом в 95ых было то, что вирус мог заражать другие исполняемые файлы. Про это все почти забыли, но оригинальный метод размножения вирусов (за что им название дали) — это интеграция своего кода в исполняемый код других приложений (чаще всего с сохранением оригинального функционала). Да-да, сейчас это себе сложно представить, но именно так и было. Запускается заражённое приложение (когда-то установленное из доверительных источников), оно ищет исполняемые файлы и модифицирует их, дописывая себя в этот файл.

Вот именно «вирусы» на большинстве мобильных платформ невозможны в принципе, т.к. если у приложения нет рута, то изменить системные файлы (включая исполняемые файлы) они не могут.
Я не забыл, сам писал ещё под MS(X)-DOS, в учебных целях, конечно же :) И если действительно все внешние контакты происходили только с доверенными источниками, то зараженному файлу в системе взяться было просто неоткуда. Опустим для ясности уязвимости сетевых протоколов и заражение источников.

С мобильными платформами знаком слабо, особенно с современными, но неужели их архитектура исключает эскалацию привилегий и те же уязвимости сетевых протоколов?

Я не знаю, «исключает или нет», но в массовом виде таковых нет. Причина — проще обмануть человека, чем писать эксплоит под то, что заткнут через несколько недель (все платформы обновляются, кроме windows mobile).

А во времена windows 95 было достаточно «неудачного» cd для того, чтобы получить вирус. Или забытой дискеты.

Проблема была в том, что любая программа имела право делать что угодно. Вообще что угодно.
Ну, даже в версии XP ситуация не сильно изменилась, лишь в Vista и семёрке смогли добавить барьер. И если в висте он тупо просил у пользователя разрешение на каждый чих (по сути, перекладывая на пользователя и ответственность), то в семёрке эта система стала более самостоятельной.
В мобильной же семёрке у каждого приложения своя песочница (может, ещё что-то есть), у айфона — песочница и общий temp, в андроиде — песочница и флешка (при наличии). Даже при желании что-либо сделать с чужими программами и данными сложно, если только эти самые чужие программы специально не сделали свои данные доступными (как, например, скайп на андроиде, который хранил настройки с возможностью публичного доступа).
В 95 винде было столько дыр, что просто караул. По моим личным экспериментам 95/98 свежая винда после установки (без обновлений) умирала в течении минуты после подключения к общажной сетке одного известного ВУЗа, где вирусня кишила со страшной концентрацией. Приходилось сначал ставить в оффлайне антивирь и желательно обновляться, а так же конфигурить фаервол, а только потом втыкать сеть. А иначе никак. Заметьте, от пользователя не требовалось ничего запускать, просто воткнуть сеть.
Общажная сетка — нетипичные условия эксплуатации :) По диалапу или локалке фирмы заражения на базе уязвимостей происходили значительно реже. Тоже на базе личного опыта.
Это конечно крайне нетипичные условия :) Но, тем не менее, это говорит о том, что такого рода атаки кроме того что возможны, но и реализованы на практике многими вирусами. Вот и недавно была обнаружена кртическая уязвимость в Win7, когда специально сконструированный пакет переданный на закрытй UDP порт открывал доступ к системе. Всё понимаю, это происходит редко, но пусть потом мне не говорят производителей операционок, что антивирусы совсем не нужны.
Так я придерживаюсь мнения, что они нужны. И нужны, прежде всего, «обычным пользователям» чтобы защищать их компы от их же действий.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Не боитесь словить нечаянно чего-нибудь гаденького на комп?
НЛО прилетело и опубликовало эту надпись здесь
Я тоже так думал («лучший антивирус — мозг»), пока не узнал что можно зайти на любой сайт и схватить что угодно. Антивирус в этом плане дает небольшую гарантию что бяка так легко не прорвется. Он оградит от тех кто работает «по площадям».
Не оградит. У меня в архиве до сих пор есть замечательный исполняемый файл, который я выловил ещё эникейщиком вручную. До сих пор ни один антивирус не детектит. Хотя активность глазами видно.

Антивирусы не гарантируют защиту ни от чего. Более того, они не гарантируют даже снижение вероятности заражения.
> Более того, они не гарантируют даже снижение вероятности заражения.

Это ложь. Суть существования всех антивирусов в том, чтобы снизить вероятность заражения, потому что обеспечить полную защиту от заражений в общем случае невозможно.
ОК, вопрос: кто из производителей готов дать гарантию хотя бы на 10% защиту от mailware? Ткните у них в EULA в соответствующий пункт, пожалуйста.

Потому что тест огранизуется очень просто: собирается 100 малварь, прогоняется каждый из. И что мы будем делать, когда каждый из оных 100 пройдёт?

Защиту от заражения организовать очень просто — не давать программам права менять другие программы.
А это не будет нарушением принципов неймановской архитектуры разве? Ну и, главное, каким-то программам такие права всё равно нужно давать хотя бы для установки доверенных, а значит по ошибке, недосмотру или глупости такие права может получить и любая другая программа :(
Удачный повод избавиться от фон-неймановской архитектуры :-)
> ОК, вопрос: кто из производителей готов дать гарантию хотя бы на 10% защиту от mailware?

Что это за «10% защита от малвари»? 10% от чего? Естественно так никто не пишет, зато все вендоры пишут что-нибудь в духе: «Мы гарантируем вам защиту от 100000 различных вредоносных программ»- сколько в базе есть столько пишут. И именно этот факт уменьшает вероятность заражения произвольной машины.

> не давать программам права менять другие программы.

Если брать в расчет не только вирусы в классическом их представлении, то для многих малваре это сейчас не обязательно. Они могут на бекграунде рассылать спам или ддосить что-нибудь или пользовательские данные отсылать куда-нибудь — и все это без изменения других программ.
Так это и не защита получается, потому что мы имеем противопоставление конечного бесконечному (с учётом, что пишут новые).

Оно даёт лишь иллюзию, плюс пожранные ресурсы, что в случае мобильной техники есть быть преступление против батарейки.
> Так это и не защита получается, потому что мы имеем противопоставление конечного бесконечному (с учётом, что пишут новые).

Опять неправда, потому что базы тоже обновляются.

> Оно даёт лишь иллюзию

Кому-то нужно подучить теорвер.

> плюс пожранные ресурсы, что в случае мобильной техники есть быть преступление против батарейки.

За безопасность всегда нужно платить.
За безопасность всегда нужно платить.
Если бы это можно было назвать безопасностью. Ради интереса как-то скормил всем существующим в Android Market антвирусам скачанный *.apk с фальшивой Opera Mini. Ни один не обнаружил ничего подозрительного, хотя стандартно всё — отправьте SMS для активации профессиональной лицензии. Но нет, никто ничего не обнаружил. Поэтому самым надёжным антивирусом является отключение опции установки приложений не из Android Market. А любители халявы, качающие всё из сторонних Маркетов ССЗБ. Это, конечно, не касается магазинов типа Amazon, NOOK или GetJar.
В случае отключения работы со сторонними источниками — необходимость в антивирусе отпадает.
Всегда в обсуждении антивирусов возникают подобные аргументы.

«А у меня они ничего не ловят!», «На компьютере с лицензионным антивирусом у знакомого полно порнобаннеров», «А люди качающие с рапидшары — ССЗБ!», «А мой компьютер не заражен — потому что я на своем компьютере\телефоне не запускаю хрен знает что» и подобное (я сейчас немного отвлекся от мобильных платформ).

Я не знаю кому они могут быть интересны. Вот конкретно ваш аргумент говорит лишь о том, что некие мобильные антивирусы (с неясными версиями баз) не детектят какой-то конкретный файл, который возможно даже не является вредоносным ПО. А если остальные 20 вирусов они детектят и блокируют, а вот ваш конкретный файл созданный только вчера — нет, готовы ли вы платить за такую безопасность? Как выясняется — многие готовы.

Если вы хотите серьезно говорить о безопасности, то приводите пожалуйста ссылки на авторитетные издания, например VB: www.virusbtn.com/vb100/latest_comparative/index — у них полностью описана методология тестирования и начальные условия. Вот уже эту статистику можно обсудить.

Что касается мобильных антивирусов — то их время еще не пришло. Но чем больше девайсов будет выпускаться на андроиде, чем выше будет его «фичность», чем богаче будет апи — тем больше будет появляться вредоносных программ и тем шире будет становиться рынок антивирусов для него.

Я не готов по одной простой причине — они обладают неясной эффективностью, даже по тестам лабораторий, которые должны проводиться не по кварталам, как часто делается, а буквально каждую неделю, потому что в один день антивирус может отловить сто зловредов, а на следующий вообще ни одного. Производители на шаг позади производителей вредоносного ПО. Поведенческий анализ чаще всего раздражает ложными срабатываниями и деланием того, что делать не надо. По мне, если на компьютере важна безопасность, то куда надёжнее использовать белые списки запуска ПО, а также работа с ограниченными правами (никаких прав суперпользователя/администратора). Это предоставит куда большую гарантию от вирусов, чем все Internet Security/Total Protection вместе взятые.
Куда более важна защита от социальной инженерии, чем от вирусов. С этим худо-бедно справляются Google Safebrowsing/Microsoft SmartScreen/NetCraft, но и то через одно место. Дело остальось за малым — перенести это на телефонные браузеры. В Android 2.3.4 таких нет. В iOS вроде есть.
НЛО прилетело и опубликовало эту надпись здесь
Если пойти по ссылке: www.xaker.name/forvb/showthread.php?t=20588&page=6

То читаем следующее:

Не палится никакими антивирусами (раньше ругался на него Касперский, теперь удалили из баз. Также Антивирусы могут кричать на Multi Pass Recovery, я использовал версию 1.2.5, отличий от 1.2.6 почти нет, но палится гораздо меньше)

Т.е. используется легитимное ПО, для того чтобы произвести нелегитимные действия над компьютером. Это всё равно что вы сами поставили себе, допустим, RAdmin — естественно антивирусы при его установке ругаться не будут, т.к. это не «вирус», но если бы у автора был установлен какой-нибудь файрвол или KIS 2011 (в KAV 2011 нет fw), то он обязательно увидел бы, что к его компьютеру пытаются удаленно подключиться.

Вывод: защита оказалась недостаточно сильной.
НЛО прилетело и опубликовало эту надпись здесь
> Вот поэтому антивирусы не эффективны

Нельзя вот так вот сразу ставить крест на всех антивирусах, потому что они вполне успешно отлавливают тонну нелегитимного вредоносного ПО, которого на порядки больше чем легитимного ПО, которое может быть использовано во вредоносных целях.

Винлокерами были заражены миллионы машин и столько же смогли избежать заражения, а вот этим трояном, возможно, единицы.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Капитан, спасибо вам за краткий экскурс, к счастью он мне не пригодился.

А вы наступили на стандартные грабли хабрамячков — ведь каждый из них уверен, что большинство населения планеты так же технически подковано как и он и совершенно не поддается социальной инженерии, а остальных уже давно нужно было согнать в биореактор и сжечь.
НЛО прилетело и опубликовало эту надпись здесь
В том то и дело, что можно просто зайти на зараженный сайт, где сидит злобный JS/iframe с пачкой эксплоитов, которые успешно загружают и исполняют то, что им интересно. И частенько прямые руки и наличие мозга тут не помогут.

Хотя Win7+Chrome+NoScript могут дать какую-никакую гарантию, что случайно такую бяку не схватишь.
А забыл, еще включенный Windows Update.
НЛО прилетело и опубликовало эту надпись здесь
То есть имеется 100% уверенность в том, что ни одной малвари/трояна не сидит на компе? :)
Вполне возможно что и не сидит, однако ж эти звери разные бывают, в один прекрасный день утечет инфа и всё.

Я всё таки за антивирус, не обязательно чтоб постоянно крутился, но раз в месяц-два скачиваю последние версии баз и пробную версию касперыча и avz, прогоняю им весь винт и остаюсь спокоен.
НЛО прилетело и опубликовало эту надпись здесь
Установка приложений из известных источников иногда не помогает. Я владелец андроидофона, как и многие люблю бесплатные приложения.

Где-то недели 2 назад поставил себе игру из маркета, называется YooNinja Free. После установки в трее (тот что сверху, выдвижной, не знаю как точно обозвать) стали появляться сообщения о том, что мне просто необходимо скачать обновление в котором исправлена какая-то критическая ошибка. Тапаю по задаче, всплывает иконка и название выше упомянутой игры. Качается .apk с названием-аля: update-20111111.apk. Запускаю установку и перед тем как инсталлировать приложение всплывает сообщение со списком действий, которые дозволены этой программе. В списке числится «отправка SMS». Ясный перец сразу отменяю установку и удаляю apk. Вот так вот бывает.

Вы только представьте себе сколько народу поставило себе это псевдообновление, которое добавляет в ОС функцию исчезновения денег со счёта.
в этом треде невольно вспоминается, недавно упоминавшаяся акция от MS
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.